Envato Elements - pobierasz co chcesz, ile chcesz

Mam nadzieję, że wszyscy zaktualizowaliście WordPressa do wersji 4.7.2 (lub nowszej), zwłaszcza, jeśli korzystacie z wersji 4.7 lub 4.7.1, czyli podatnej na atak z wykorzystaniem REST API, o czym niedawno pisałem…

Jeśli nie, to być może Wasza strona jest już wśród licznych „szczęśliwców”, którzy wygrali „darmową infekcję swojej strony” (a być może i komputerów swoich czytelników/użytkowników).

WordPress REST API i pierwsze ofiary

Jak można przeczytać na blogu Sucuri i zobaczyć w Google mamy już pierwsze ofiary – i to liczone w setkach tysięcy. Poniżej przykłady z Google tylko na 2 z kilku zapytań jakie można wyszukać:

223 000 + 28 200 wyników robi wrażenie, nawet jeśli uznać, że tylko część z nich to faktycznie zarażone strony…

Google Search Console Team

Dostałem też kilka wiadomości od Google Search Console Team, w których pojawia się „zachęta to pilnej aktualizacji” WordPressa:

Wykryliśmy, że Twoja witryna korzysta z Wordpress 4.7.0 or 4.7.1, czyli starszej wersji WordPress. Nieaktualne lub pozbawione poprawek oprogramowanie może być celem ataku, a luki w jego zabezpieczeniach może wykorzystać złośliwe oprogramowanie, działając na szkodę potencjalnym gościom Twojej witryny. Zalecamy jak najszybciej zaktualizować oprogramowanie witryny.

Na szczęście – przynajmniej dla mnie – nie są to (już) witryny którymi aktualnie się zajmuję, a wiadomości dostałem, bo niektóre z nich zostały (nadal) na moim koncie Google Search Console (dawne Narzędzia dla Webmasterów, Google Webmasters Tools).

Na szczęście – tym razem dla byłych klientów – większość tych stron cały czas jest ukrytych za CloudFlare, dzięki czemu tym razem brak aktualizacji zapewne się im upiecze, przynajmniej jeśli chodzi o błąd związany z REST API.

WordPress REST API

Oddzielny akapit należy się dla ekipy odpowiedzialnej za WordPressa, i nie będą tym razem to podziękowania – rozumiem, że nowa odsłona REST API, jaka pojawiła się z WordPressem 4.7 to nowe możliwości, zwłaszcza w kontekście integracji z zewnętrznymi narzędziami, ale ten przypadek doskonale pokazuje, że wprowadzając tak potężne narzędzia warto się dobrze zastanowić. A już na pewno można było – przynajmniej na początku – dać to jako opcję do ręcznej aktywacji (ew. też jakąś regułę do wykorzystania w wp-config.php, by móc wyłączyć/zablokować REST API).

Oczywiście nie mam dostępu do statystyk, i nie wiem jaki procent użytkowników WordPressa faktycznie korzysta z REST API, ale wydaje mi się, że – przynajmniej na razie – korzysta z tego niewielka grupa użytkowników, a na pewno mniejsza niż Ci, co nie zaktualizowali swoich stron i teraz możemy na nich trafić choćby w Google (choć oczywiście też są winni, bo aktualizacja była, i to całkiem szybko, zanim zostały wykryte próby wykorzystania podatności).

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Monika ćwiczy przed kongresem ko..., ale jej też należy się zniżka 80% na skięgowość wFirma dla oglądających WebInsider.pl
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera!